Okta Classic Engineリリースノート(早期アクセス)

早期アクセス機能

OIDCトークンエンドポイントのネットワーク制限はプレビュー内のEAです

OIDCトークンのエンドポイントにネットワーク制限を適用して、トークンのセキュリティを強化できるようになりました。「OpenID Connectアプリ統合を作成する」を参照してください。

Okta統合IdPタイプはプレビュー内のEAです

Okta統合IdPを使用すると、Okta orgを外部IdPとして使用でき、構成を簡素化して安全なデフォルトを提供できます。「Okta統合IDプロバイダーを追加する」を参照してください。

資格情報侵害の保護

侵害された資格情報の影響からorgを保護します。Oktaでは、サードパーティが選択したデータセットと比較した後、ユーザー名とパスワードの組み合わせが侵害されたと判断された場合、ユーザーパスワードのリセット、強制ログアウト、委任Workflowの呼び出しなど、パスワードポリシーにより保護応答をカスタマイズできます。「資格情報侵害の検出」を参照してください。

この機能は5月15日から徐々に運用を開始しています。

Active DirectoryのDirSyncによるグループインポート

Active Directory(AD)統合のプロビジョニングタブに、DirSyncを使用したADによるインポートを有効にするチェックボックスが追加されました。チェックボックスを有効にすると、管理者はDirSyncを使用してグループの増分インポートを実行できます。「Active Directoryのインポートとアカウントの設定を構成する」を参照してください。

RingCentralで新しいデフォルト電話番号ロジックを使用する

RingCentralアプリ統合で電話番号を検出および入力するロジックが更新され、DirectNumberとIntegrationNumberの両方のエントリで動作するようになりました。

自動ローテーションによるOrg2OrgのOAuth 2.0プロビジョニング

複数orgアーキテクチャ(Oktaハブアンドスポークorgなど)をデプロイする管理者は、ユーザーとグループのプロビジョニングを保護する必要があります。OAuth 2.0スコープのトークンを使用したプロビジョニングには、より詳細なアクセス権限の設定、トークンの短い有効期間、キーの自動ローテーションなど、APIトークンに比べていくつかの利点があります。Admin Consoleから直接、Org2OrgアプリのプロビジョニングにOAuth 2.0の自動ローテーションを有効化できるようになりました。

Okta Org2OrgをOktaと統合する」を参照してください。

Okta Privileged AccessでActive Directoryアカウントを管理する

この機能により、Okta AD Agentを使用してOkta Privileged Accessを通じてActive Directory(AD)アカウントパスワードを管理できます。管理者は、特定の組織単位(OU)内のアカウントに検出ルールを設定し、ユーザーアクセスのポリシーを作成して、チェックイン時またはスケジュールに従ってパスワードがローテーションされるようにできます。アクセス権を持つユーザーは、割り当てられたアカウントを表示し、パスワードを取得できます。この機能を有効にする場合は、Oktaサポートにお問い合わせください。「Active Directoryアカウントを管理する」を参照してください。

Oktaファーストパーティアプリのアプリスイッチャー

End-User Dashboard、Admin Console、Workflowsコンソールにアプリスイッチャーが追加され、管理者は割り当てられたOktaアプリ間をすばやく移動できるようになりました。アプリスイッチャーを表示するには、[Unified look and feel for Okta Admin Console(Okta Admin Consoleの統一された外観と操作性)][Unified look and feel for Okta Dashboard(Okta Dashboardの統一された外観と操作性)]の早期アクセス機能を有効にする必要があります。

Universal Directoryマップのトグル

新しいUniversal Directory (UD)マップのトグルを使用すると、管理者はユーザーのメールアドレスをユーザーIDにリンクできます。これにより、管理者はセルフサービス登録機能を有効化できます。「一般的なセキュリティ」を参照してください。

新しいシステムログイベント

policy.evaluate_sign_onイベントに、新しいDebugData項目:IdpVerifiedFactorModeが追加されました。この新しい項目は、ユーザーがサービスプロバイダーを通じてサインインしたときに、IDプロバイダーで 1つまたは2つの要素を使用して認証したかどうかを示します。「システムログ」を参照してください。

システムログイベントの機能強化

policy.evaluate_sign_onイベントに、IdpVerifiedFactorMode項目が追加されました。これは、orgでクレーム共有が有効化されている場合に表示され、IDプロバイダーがユーザーの認証要素を検証したかどうかを示します。「システムログ」を参照してください。

SAP Netweaver ABAP用On-prem Connector

SAP NetWeaver ABAP用On-prem Connectorは、すぐに使用できるソリューションを提供し、SAPオンプレミスアプリをOkta Identity Governanceに接続します。これにより、Oktaで直接SAPエンタイトルメント(ロール)を検出、可視化、管理できます。この統合により、カスタム統合の必要性がなくなり、エンタイトルメント管理が合理化されることで、セキュリティの強化、時間の節約、ガバナンスの簡素化が実現します。

Universal Syncの新しい属性

Universal Syncでは、次の属性がサポートされるようになりました:AuthOrigDLMemRejectPermsDLMemSubmitPermsUnauthOrig

同期可能なパスキーをブロックする

認証中に同期可能なパスキーをブロックできるようになりました。以前は、登録中にのみブロックできました。これにより、ユーザーが同期可能なパスキーを提示して管理対象外の新しいデバイスを登録しようとすることを防ぎ、orgのセキュリティが強化されます。

アプリユーザーを非アクティブ化するためのセルフサービストグル

管理者はセルフサービストグルを使用して、Oktaユーザーの非アクティブ化時に個々のアプリ割り当てがどうなるのかを変更できるようになりました。有効にすると、ユーザーの個々のアプリの割り当てが一時停止ではなく非アクティブ化されます。ユーザーがOktaで再度アクティブ化されても、個々のアプリ割り当ては再アクティブ化されません。

切断されたアプリのエンタイトルメント対応

切断されたアプリとは、Okta内でLCM統合されていないアプリです。この機能を使用すると、CSVファイルを使用して、切断されたアプリからユーザーとエンタイトルメントをOktaにインポートできます。これにより、Oktaと完全に統合されていないアプリも含め、すべてのアプリで一貫したガバナンスとコンプライアンスが実現します。

インポートされたユーザーの再照合を強制する

この機能は完全インポートや増分インポートにかかわらず、プロファイルソースからインポートされた未確認ユーザーの再照合を強制します。インポートされたユーザーを既存のOktaユーザーと照合しようとします。この機能を有効にすると、すべてのインポートで未確認のユーザーの一致が再評価されます。

ユーザーのシステムログイベントのインポート中にエンタイトルメント同期をスキップする新機能

次のシステムログイベントが追加されました:ユーザーインポート中のエンタイトルメント同期のスキップ

Okta間のクレーム共有の強化

Okta間のクレーム共有では、シングルサインオン用のスマートカードAuthenticatorとActive Directoryの使用がサポートされるようになりました。これにより、ユーザーがすでにOkta orgに認証されている場合、サービスプロバイダーで認証する必要がなくなります。

SAP Netweaver ABAP用On-prem Connectorでサポートされる属性の追加

Okta On-prem Connectorでは、サポートされるユーザー属性が追加されて、OktaとSAP Netweaver ABAPとの統合が向上しました。

外部パートナー向けのSecure Partner Access

Secure Partner Accessは、外部のビジネスパートナーがorgのリソースに安全にアクセスできるようにします。パートナー管理タスクの効率化やITの作業負荷を軽減する他にも、orgのセキュリティ要件を構成するプロセスが簡素化されます。「Secure Partner Access」を参照してください。

Identity Governance管理者アプリのアクセスにMFAを必須にする

orgがOkta Identity Governanceを使用している場合は、ファーストパーティアプリであるOkta Access Certifications、Okta Entitlement Management、Okta Access Requests Adminにアクセスする管理者に対してMFAを必須にできます。org内でEA機能を自動的に有効にした場合は、それらのアプリに対してMFAが自動的に強制されます。「Admin ConsoleのMFAを有効にする」を参照してください。

APIエンドポイントを呼び出すためのOAuth 2.0セキュリティ

Okta WorkflowsユーザーはOAuth 2.0プロトコルとOkta Orgの認可サーバーを使用して、APIエンドポイントを安全に呼び出すことができるようになりました。この早期アクセス機能は、既存のトークン認可オプションよりも安全な上に実装も簡単です。新規または既存のアプリ統合にokta.workflows.invoke.manageスコープを追加して、APIエンドポイントを呼び出せるようにします。

SCIM 2.0対応のOkta Provisioning Agentによるエンタイトルメント管理

このエージェントは、Governance Engineが有効化されたアプリ統合のエンタイトルメント管理をサポートします。これは、Oktaとオンプレミスアプリ間でエンタイトルメントをプロビジョニングできるようにします。

検証ページをスキップしてIdP Authenticatorにリダイレクト

この機能はユーザーがSign-In Widgetで確認手順をスキップできるようにします。その代わりに、ユーザーが検証のためにIdP Authenticatorにリダイレクトされます。この機能を有効にすると、Sign-In Widgetの検証をスキップするオプションがエンドユーザーに表示されます。orgがユーザーの前回のAuthenticatorを記憶するように構成されている場合は、今後のサインイン試行でユーザーがIdP Authenticatorに自動的にリダイレクトされます。